Erläutern von VNET-Dienstendpunkten
Sie haben Ihre vorhandenen App- und Datenbankserver für Ihr ERP-System als VMs zu Azure migriert. Sie überlegen sich nun, einige Azure-PaaS-Dienste (Platform-as-a-Service) zu verwenden, um die Kosten und den Verwaltungsaufwand zu reduzieren. Große Dateiressourcen wie technische Diagramme sollen in Speicherdiensten gespeichert werden. Diese technischen Diagramme enthalten vertrauliche Informationen und müssen vor nicht autorisiertem Zugriff geschützt werden. Diese Dateien dürfen nur über spezifische Systeme zugänglich sein.
In dieser Lerneinheit erfahren Sie, wie Sie VNET-Dienstendpunkte zum Sichern unterstützter Azure-Dienste verwenden.
Was ist ein VNET-Dienstendpunkt?
Der Virtual Network (VNet)-Dienstendpunkt bietet eine sichere und direkte Verbindung mit Azure-Diensten über eine optimierte Route über das Azure-Backbonenetzwerk. Endpunkte ermöglichen es Ihnen, Ihre kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen. Dienstendpunkte ermöglichen es privaten IP-Adressen im VNet, den Endpunkt eines Azure-Diensts zu erreichen, ohne dass eine öffentliche IP-Adresse im VNet benötigt wird.
Azure-Dienste sind standardmäßig für den direkten Internetzugriff vorgesehen. Alle Azure-Ressourcen, einschließlich PaaS-Dienste wie Azure SQL-Datenbank und Azure Storage, verfügen über öffentliche IP-Adressen. Da diese Dienste im Internet zur Verfügung gestellt werden, kann möglicherweise jeder auf Ihre Azure-Dienste zugreifen.
Dienstendpunkte können mit bestimmten PaaS-Diensten eine direkte Verbindung über Ihren privaten Adressraum in Azure herstellen, damit sie sich verhalten, als befänden sie sich im gleichen virtuellen Netzwerk. Verwenden Sie Ihren privaten Adressraum, um direkt auf die PaaS-Dienste zuzugreifen. Der öffentliche Endpunkt wird beim Hinzufügen von Dienstendpunkten nicht entfernt. Der Datenverkehr wird lediglich umgeleitet.
Vorbereiten der Implementierung von Dienstendpunkten
Sie müssen die folgenden beiden Schritte ausführen, um einen Dienstendpunkt zu aktivieren:
- Deaktivieren des öffentlichen Zugriffs auf den Dienst
- Fügen Sie den Dienstendpunkt zu einem virtuellen Netzwerk hinzu.
Wenn Sie einen Dienstendpunkt aktivieren, schränken Sie den Datenverkehrsfluss ein und erlauben Ihren virtuellen Azure-Computern den direkten Zugriff von Ihrem privaten Adressraum auf den Dienst. Geräte können nicht über ein öffentliches Netzwerk auf den Dienst zugreifen. Wenn Sie die effektiven Routen auf einer bereitgestellten virtuellen VM-Netzwerkschnittstelle betrachten, wird Ihnen der Dienstendpunkt als Typ des nächsten Hops auffallen.
Nachfolgend ein Beispiel für eine Routingtabelle vor dem Aktivieren eines Dienstendpunkts:
| QUELLE | STATUS | ADRESSPRÄFIXE | TYP DES NÄCHSTEN HOPS |
|---|---|---|---|
| Standard | Aktiv | 10.1.1.0/24 | VNet |
| Standard | Aktiv | 0.0.0.0./0 | Internet |
| Standard | Aktiv | 10.0.0.0/8 | Keine |
| Standard | Aktiv | 100.64.0.0./ | Keine |
| Standard | Aktiv | 192.168.0.0/16 | Keine |
Nachfolgend ein Beispiel für eine Routingtabelle nach dem Hinzufügen von zwei Dienstendpunkten zum virtuellen Netzwerk:
| QUELLE | STATUS | ADRESSPRÄFIXE | TYP DES NÄCHSTEN HOPS |
|---|---|---|---|
| Standard | Aktiv | 10.1.1.0/24 | VNet |
| Standard | Aktiv | 0.0.0.0./0 | Internet |
| Standard | Aktiv | 10.0.0.0/8 | Keine |
| Standard | Aktiv | 100.64.0.0./ | Keine |
| Standard | Aktiv | 192.168.0.0/16 | Keine |
| Standard | Aktiv | 20.38.106.0/23, 10 weitere | VirtualNetworkServiceEndpoint |
| Standard | Aktiv | 20.150.2.0/23, 9 weitere | VirtualNetworkServiceEndpoint |
Jeglicher Datenverkehr für den Diensts wird nun Azure-intern an den VNET-Dienstendpunkt geleitet.
Erstellen von Dienstendpunkten
Als Netzwerkspezialist planen Sie die Migration von sensiblen Dateien mit technischen Diagrammen zu Azure Storage. Auf diese Dateien soll nur über Computer im Unternehmensnetzwerk zugegriffen werden. Sie möchten einen VNET-Dienstendpunkt für Azure Storage erstellen, um die Konnektivität mit Ihren Speicherkonten zu schützen.
Im Tutorial zum Dienstendpunkt erfahren Sie mehr über die folgenden Aktionen:
- Aktivieren eines Dienstendpunkts für ein Subnetz
- Verwenden von Netzwerkregeln zum Einschränken des Zugriffs auf Azure Storage
- Erstellen eines VNET-Dienstendpunkts für Azure Storage
- Überprüfen, ob der Zugriff ordnungsgemäß verweigert wird
Konfigurieren von Diensttags
Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Tag automatisch, wenn sich die Adressen ändern. Auf diese Weise wird die Komplexität häufiger Updates an Netzwerksicherheitsregeln minimiert.
Sie können Diensttags verwenden, um Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen oder in der Azure Firewall zu definieren. Verwenden Sie Diensttags anstelle von spezifischen IP-Adressen, wenn Sie Sicherheitsregeln erstellen. Indem Sie den Diensttagnamen (z. B. APIManagement) im entsprechenden Quell- oder Zielfeld einer Regel angeben, können Sie den Datenverkehr für den entsprechenden Dienst erlauben oder verweigern.
Ab Mai 2021 können Sie auch Diensttags anstelle von expliziten IP-Adressbereichen in benutzerdefinierten Routenverwenden. Dieses Feature befindet sich derzeit in der öffentlichen Vorschauphase.
Mithilfe von Diensttags können Sie Netzwerkisolation erreichen und Ihre Azure-Ressourcen vor dem allgemeinen Internet schützen, während Sie auf Azure-Dienste mit öffentlichen Endpunkten zugreifen. Erstellen Sie Regeln für eingehende/ausgehende Netzwerksicherheitsgruppen, um Datenverkehr in das Internet und aus diesem zu verweigern und Datenverkehr in die Azure-Cloud oder andere verfügbare Diensttags von bestimmten Azure-Diensten und aus diesen zuzulassen.
Verfügbare Diensttags
Die folgende Tabelle listet alle Diensttags auf, die zur Verwendung in Regeln für Netzwerksicherheitsgruppen verfügbar sind.
In den Spalten wird angegeben, ob das jeweilige Tag:
- für Regeln geeignet ist, die eingehenden oder ausgehenden Datenverkehr abdecken.
- einen regionalen Bereich unterstützt.
- in Azure Firewall-Regeln verwendet werden kann.
Standardmäßig spiegeln Diensttags die Bereiche für die gesamte Cloud wider. Einige Diensttags ermöglichen eine präzisere Steuerung, indem sie die entsprechenden IP-Adressbereiche auf eine bestimmte Region beschränken. Das Diensttag „Storage“ beispielsweise stellt Azure Storage für die gesamte Cloud (bis auf Storage) dar. „USA, Westen“ schränkt den Bereich auf den Storage-IP-Adressbereich der Region „USA, Westen“ ein. Die folgende Tabelle gibt an, ob jedes Diensttag einen solchen regionalen Bereich unterstützt.
Mit Diensttags von Azure-Diensten werden die Adresspräfixe der jeweils verwendeten Cloud angegeben. Beispielsweise unterscheiden sich die zugrunde liegenden IP-Adressbereiche, die dem Wert des SQL-Tags in der öffentlichen Azure-Cloud entsprechen, von den zugrunde liegenden Bereichen in der Azure China-Cloud.
Wenn Sie einen VNET-Dienstendpunkt für einen Dienst (z. B. Azure Storage oder Azure SQL-Datenbank) implementieren, fügt Azure einem VNET-Subnetz für den Dienst eine Route hinzu. Die Adresspräfixe für die Route sind die gleichen Adresspräfixe bzw. CIDR-Bereiche wie diejenigen für das entsprechende Diensttag.